Saltar al contenido
Octo Inc. — Unidad de Protección de Datos
Octoberus DATOS

LA LEY ·

Ley 19.628 vs. Ley 21.719: qué cambia de verdad

Chile tenía ley de datos desde 1999. Entonces, ¿por qué el revuelo? Porque la Ley 19.628 era una declaración de principios sin dientes, y la 21.719 es un régimen de cumplimiento con fiscalizador, multas y plazos. Esta es la comparación que le mostramos a los directorios.

La tabla que resume todo

Dimensión Ley 19.628 (1999) Ley 21.719 (2026)
Fiscalizador Nadie: solo demandas judiciales del afectado Agencia de Protección de Datos con potestad de fiscalizar y sancionar de oficio
Multas Simbólicas (hasta ~50 UTM en casos generales) Hasta 20.000 UTM y 2–4% de ingresos anuales por reincidencia
Bases de licitud Consentimiento o autorización legal, a secas Sistema completo: contrato, obligación legal, interés legítimo, situaciones vitales, y consentimiento reforzado
Derechos ARCO básico, difícil de exigir ARCOP con plazos, más portabilidad y protección frente a decisiones automatizadas
Obligaciones de gestión Prácticamente ninguna Registro de actividades, seguridad proporcional al riesgo, notificación de brechas, evaluaciones de impacto
Terceros Sin regulación práctica Contratos de encargo obligatorios, responsabilidad por proveedores
Transferencias internacionales Sin régimen real Régimen de países adecuados, cláusulas y garantías
Programas de cumplimiento No existían Modelo de prevención de infracciones (art. 49) con efecto atenuante y certificable
Reputación Sanciones invisibles Registro nacional público de sanciones

Las tres diferencias que cambian tu operación

1. Alguien va a mirar. Con la 19.628, el riesgo real era casi cero: requería que un afectado te demandara civilmente. Ahora existe una agencia cuyo trabajo de tiempo completo es fiscalizar — con denuncias ciudadanas como insumo gratuito e ilimitado.

2. El consentimiento dejó de ser un cheque en blanco. Esas cláusulas genéricas de “autorizo el uso de mis datos para todos los fines” que firmaste hace años no sobreviven al estándar nuevo: el consentimiento debe ser específico, informado y revocable, y para muchos tratamientos la base correcta ni siquiera es el consentimiento.

3. Cumplir se demuestra, no se declara. La 21.719 importa el principio de responsabilidad proactiva: no basta con portarte bien, debes poder acreditar que te portas bien — registro, evidencia, procedimientos, capacitación. Es un cambio de “no hacer nada malo” a “demostrar que haces lo correcto”.

¿Y lo que ya tenías bajo la 19.628?

No parte de cero, pero tampoco te salva: casi todo lo hecho bajo la ley antigua (avisos, consentimientos, cláusulas) necesita revisión contra el estándar nuevo. En el diagnóstico revisamos precisamente cuánto de lo existente es aprovechable y cuánto hay que rehacer.

SIGUIENTE PASO

¿Quieres saber cómo aplica esto a tu empresa? El autodiagnóstico gratuito te entrega tu mapa de brechas en 10 minutos.

Autodiagnóstico gratis →